Beschwerden von Eltern schulpflichtiger Kinder

§ 2 Abs. 1 der Verordnung über die Zulassung und Ausgestaltung von Untersuchungen und Maßnahmen der Schulgesundheitspflege Regelmäßige schulärztliche Untersuchungen finden anlässlich der Einschulung statt und sind danach in vierjährigen Abständen bis zum Ende der Schulausbildung der Schülerinnen und Schüler zulässig. Die Untersuchungen dienen der Gesunderhaltung, Entwicklungsbeurteilung und der Krankheitsfrüherkennung und schließen eine Beratung zur Veranlassung notwendiger Folgemaßnahmen und eine Impfberatung ein.

Die Beschwerden von Eltern schulpflichtiger Kinder:

Im Berichtszeitraum erreichten mich verschiedene Beschwerden von Eltern, deren schulpflichtige Kinder von den Gesundheitsämtern zur Schuleingangsuntersuchung eingeladen worden waren. So wurde mit der Bekanntgabe des Untersuchungstermins ein Fragebogen mitgeschickt, der ausgefüllt zur Untersuchung mitgebracht werden sollte. In dem Bogen wurden Angaben zur sozialen und gesundheitlichen Anamnese des Kindes erhoben. Die Problematik besteht nun darin, dass die Inhalte der erhobenen Informationen von Gesundheitsamt zu Gesundheitsamt stark differieren. So wurde in einem Fall z. B. der vom Vater ausgeübte Beruf oder Angaben zur Schwangerschaft erfragt. Dabei sollte die Frage beantwortet werden, ob es u. a. zu einer Zangengeburt gekommen war oder aber eine Saugglocke verwendet werden musste. Auch sollte Angaben über „Auffälligkeiten" im ersten Lebensjahr, wie z. B. das Tragen von Spreizhöschen, gemacht werden. Diese Inhalte führten dazu, dass von den Eltern hinterfragt wurde, ob man zur Auskunft solcher intimen persönlicher Details verpflichtet sei.

Auch die Aufforderung, zur Untersuchung den Impfpass des Kindes mitzubringen, stieß zunächst auf Unverständnis. Dabei leiten sich aus § 34 Abs. 11 Infektionsschutzgesetz (IfSG) eindeutige Vorgaben ab, welche die Gesundheitsbehörde befugt, diese Daten zu erheben.

§ 34 Abs. 11 IfSG:

Bei Erstaufnahme in die erste Klasse einer allgemein bildenden Schule hat das Gesundheitsamt oder der von ihm beauftragte Arzt den Impfstatus zu erheben und die hierbei gewonnenen aggregierten und anonymisierten Daten über die oberste Landesgesundheitsbehörde dem Robert-Koch-Institut zu übermitteln.

Unterschiedliche Informationsanforderungen der Gesundheitsämter und mangelnde Hinweise auf die Rechtsgrundlagen für die Datenerhebung Wenig nachvollziehbar ist, dass Art und Umfang der verlangten Informationen stark differiert. Während man sich bei der Stadt Frankfurt mit einem wenige Fragen umfassenden Bogen begnügte, forderte der Kreis Bergstraße ein Mehrfaches an Angaben von den Betroffenen ein.

Hinweise zur Rechtsgrundlage für die Datenerhebung fehlen ebenso in den Anschreiben an die Eltern wie Informationen zur Datenverarbeitung sowie zu Aufbewahrungsfristen bzw. der Dauer der Speicherung dieser Unterlagen. In einem Fragebogen war die Rechtsgrundlage falsch bzw. unvollständig zitiert.

Konsequenzen:

Die wiederholt geäußerte Kritik betroffener Eltern hat mich veranlasst, das Thema im Rahmen einer Amtsleiterkonferenz der hessischen Gesundheitsämter zu thematisieren. Meine dort vertretene Auffassung, wonach es erforderlich ist, einen landesweit einheitlichen Standard der Datenerhebung anzustreben, wurde positiv aufgenommen. Dazu sollte ein landesweit einheitlicher Erhebungsbogen entwickelt werden, mit dem die erforderlichen Informationen im Rahmen der Schuleingangsuntersuchung abgefragt werden. Der hierfür zuständige Fachkreis der Schulärzte der Gesundheitsämter wurde beauftragt, die entsprechenden Voraussetzungen zu schaffen. In diesem Zusammenhang habe ich meine Mitwirkung hinsichtlich der Ausgestaltung des Fragebogens, insbesondere was die rechtlichen Informationen zur Datenerhebung und -verarbeitung betrifft, zugesagt. Über die Ergebnisse werde ich im 35. Tätigkeitsbericht berichten.

Neue Datenverarbeitungsprojekte des Medizinischen Dienstes der Krankenversicherung Hessen

Im Berichtsjahr habe ich mit dem Medizinischen Dienst der Krankenversicherung in Hessen die datenschutzrechtlichen Anforderungen an verschiedene neue Datenverarbeitungsprojekte diskutiert. Einige Fragen sind weiterhin klärungsbedürftig.

Einsatz von Laptops durch die Gutachter des MDK:

Vor allem im Bereich der Pflege wurden medizinische Informationen über den Patienten bislang händisch in einen Formularvordruck aufgenommen. Die Inhalte des Formulars dienten als Basis für das vom Gutachter zu erstellende medizinische Gutachten. Seit geraumer Zeit können sich die einzelnen Mitarbeiter jeweils eines Laptops bedienen. Die erhobenen Daten, die bislang per Hand auf Papier eingetragen wurden, werden nun in ein elektronisches Formular, das als Eingabemaske zur Verfügung steht, erfasst.

Die elektronische Ver- bzw. Bearbeitung personenbezogener Daten erfordert technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit, wie sie sich insbesondere aus der Anlage zu § 78a SGB X und § 10 Abs. 2 HDSG ableiten. Schließlich werden medizinische Daten, die der ärztlichen Schweigepflicht unterliegen, auf einem elektronischen Speichermedium abgelegt. Diese Informationen müssen vor einem Zugriff unbefugter Dritter angemessen und wirksam geschützt werden. Gerade bei Laptops gibt es das Diebstahlrisiko, das beachtet werden muss. Deshalb ist es z. B. unumgänglich, solche besonders sensitiven personenbezogenen (Gesundheits-)Daten nur verschlüsselt auf der Festplatte zu speichern. Selbstverständlich ist unter Zuhilfenahme einer entsprechenden Schutzsoftware auch der Zugang zum Betriebssystem zu sichern. Derartige Sicherheitsmaßnahmen waren jedoch zum Zeitpunkt meiner Gespräche mit dem MDK über Art und Umfang der Nutzung dieses Mediums nicht realisiert. Erschwerend kam hinzu, dass in der Vergangenheit bereits zwei von etwa 90 durch Gutachter außer Haus eingesetzter Laptops gestohlen wurden. Ich habe deshalb dem MDK gegenüber eine unmittelbare Umsetzung der erforderlichen Sicherheitsmaßnahmen gefordert, die nach Auskunft der Geschäftsleitung inzwischen realisiert ist. Danach hat man das Produkt „SafeGuard Easy" auf alle mobilen Rechner aufgespielt, die im Außendienst eingesetzt werden. Hinzu kommt, dass durch die technische Abteilung beim MDK für jeden Laptop eine besondere Kennung vergeben wurde und der jeweilige Nutzer ein zusätzliches, individuelles Passwort eingeben muss, um die Anwendung zu starten.

Übermittlung der Gutachten per E-Mail an den MDK:

Das Schreiben der Gutachten und deren sichere Speicherung auf dem Laptop ist jedoch nur ein Teil des Gesamtverfahrens.

Ein anderer Aspekt, der datenschutzrechtliche Fragen beinhaltet, ist die sichere Übermittlung vom einzelnen Gutachter auf den zentralen Server des MDK in die Hauptverwaltung nach Oberursel.

Die Übergabe der Gutachten soll mit Hilfe des Abgleichs der persönlichen Notes-Mail-Datenbank über Wählleitungen von unterwegs oder vom heimischen Arbeitsplatz aus erfolgen. In dieser Datenbank sind für den Gutachter die jeweiligen Aufträge enthalten, die dieser abarbeiten soll. Um die Vermittlung technisch sicherzustellen, wurde auf die Laptops, die alle standardmäßig mit internen Modems ausgestattet sind, die hierfür notwendige Software (Lotus Notes) aufgespielt. Da alle beim MDK benutzten PC mit dieser Software arbeiten, ist die erforderliche Kompatibilität der Technik mit den beim MDKHessen bestehenden Notes-Systemen gewährleistet.

Hinsichtlich der Anforderungen an die Sicherheit des Verfahrens, dass technisch auf dem mit der AOK bereits seit Jahren praktizierten elektronischen Austausch von Pflegegutachten basiert, gelten die gleichen Sicherheitsstandards. Es wird dadurch sichergestellt, dass die Daten nur verschlüsselt übertragen werden.

Projekt „Sicherer E-Mail-Verkehr mit externen Gutachtern"

Bislang wurden die Gutachten, die von externen Gutachtern im Auftrag des MDK gefertigt wurden, von diesen in unregelmäßigen Abständen per Diskette der zuständigen Geschäftsstelle überbracht. Nunmehr will man sich eines elektronischen Transfers der geschriebenen Gutachten bedienen. Die Übergabe der Pflegegutachten soll mit Hilfe des Programms „OpenPGP" oder des S/MIME-Protokolls erfolgen (vgl. 28. Tätigkeitsbericht, Ziff. 10.1 und Orientierungshilfe zum Einsatz kryptografischer Verfahren unter www.datenschutz.hessen.de). Die Weitergabe der Daten erfolgt nur von einer bestimmten Person (Absender) an eine andere festgelegte Person (Empfänger). Durch die Verwendung eines an die Person des Empfängers gebundenen privaten Schlüssels ist es unbefugten Dritten nicht möglich, die ausgetauschten Dateninhalte zu entschlüsseln und zur Kenntnis zu nehmen. Die Geschäftsführung hat mich über den Beginn der Testphase in Kenntnis gesetzt. Nach deren Abschluss sollen die Ergebnisse ausgewertet und mir zur datenschutzrechtlichen Bewertung vorgelegt werden.

Einsatz des Programms KQP II:

Entsprechend den Vorgaben des § 53a SGB XI wurden für den Bereich der sozialen Pflegeversicherung gemeinsame und einheitliche Richtlinien über die von den Medizinischen Diensten zu übermittelnden Berichte und Statistiken, zur Qualitätssicherung der Begutachtung und Beratung sowie über das Verfahren zur Durchführung von Qualitätsprüfungen verbindlich festgeschrieben.

Der MDK Hessen hat, um den Richtlinien Rechnung zu tragen, vom MDK Westfalen Lippe ein Programm (KQP I) erworben und dieses modifiziert (Version KQP II). Danach erfolgt über einen Zufallsgenerator die Auswahl eines fertig gestellten Gutachtens. Die inhaltliche Bewertung des Gutachtens (Qualität, inhaltliche Konsistenz) soll durch das jeweilige Pflegeteam vor Ort erfolgen. Nach den Vorstellungen der Geschäftsführung sollte dies jedoch nicht durch eine zuvor autorisierte Person, z. B. den Teamleiter selbst, erfolgen. Vielmehr sieht eine Formulierung im Organisationshandbuch des MDK hierzu vor, dass in Form einer „Eigenregelung" das Team den Qualitätssicherer selbst bestimmt. Dies müsste nicht die Person des Teamleiters sein. Vielmehr könne hierfür auch ein anderes Mitglied des Teams, das etwa sechs bis acht Köpfe zählt, bestimmt werden. Die datenschutzrechtliche Brisanz besteht darin, dass die Qualitätssicherung gutachterbezogen erfolgt und die Bewertung arbeitsrechtliche Konsequenzen haben kann. Das bedeutet, dass der Qualitätssicherer die jeweils bestimmte Person sowohl den Namen des Gutachters als auch die medizinischen Inhalte der Unterlage zur Kenntnis erhält. Die Verantwortung der Qualitätskontrolle soll nach dem Willen der Geschäftsleitung künftig innerhalb der Teams als „selbst steuernde und selbst organisierende Einheiten" erfolgen. Dies entspricht der Formulierung im Organisationshandbuch des MDK. Das gesamte Verfahren entspricht jedoch nicht datenschutzrechtlicher Transparenz, Objektivität und Nachvollzieh barkeit des Verfahrens. Es bedarf der Präzisierung, wer unter welchen Voraussetzungen mit welchen Konsequenzen personenbezogene Daten vom Gutachten und Patienten verarbeiten muss bzw. darf.

Eine gutachterbezogene Übermittlung der Qualitätskontrolle an die Hauptverwaltung erfolgt nicht. Dort werden nur die vom Qualitätssicherer geprüften Gutachten (ohne Namensbezug) eingesehen und auf ihre inhaltliche Plausibilität und Qualität hin überprüft.

Ich habe die Geschäftsleitung gebeten, das Organisations-Handbuch hinsichtlich der gutachterbezogenen Auswertung innerhalb der jeweiligen Teams zu präzisieren. Eine Antwort des MDK liegt mir noch nicht vor.

Datenschutzrechtliche Probleme der Auftragsdatenverarbeitung für die Erfassung von ärztlichen Gutachten des Medizinischen Dienstes der Krankenversicherung Hessen

Der MDK Hessen lässt durch ein Tochterunternehmen des MDK Sachsen-Anhalt ärztliche Gutachten schreiben. Bei einer Prüfung vor Ort musste ich feststellen, dass die mir vom MDK schriftlich dargelegten Modalitäten der Datenverarbeitung mit der Praxis nicht übereinstimmten. Insbesondere war die Verantwortung für Datenschutz und Datensicherheit nicht klar zugeordnet. Auch war ein wesentlicher Teil der in den Verträgen festgelegten Verfahrensanforderungen, nämlich die Pseudonymisierung der übermittelten Sprachdiktate, nicht umgesetzt.

Das Verfahren:

Bislang wurden die von Gutachtern des MDK Hessen diktierten Gutachten von eigenen Kräften in den jeweiligen Geschäftsstellen oder aber externen Schreibbüros gefertigt. Vom Volumen her geht es dabei um etwa 100.000 Gutachten, die jährlich in den verschiedenen Bereichen (Pflege, Arbeitsunfähigkeit, Hilfsmittel, Rehabilitation u. a.) anfallen. Die Geschäftsleitung des MDK Hessen hat nun sämtliche Schreibarbeiten, die in diesem Zusammenhang anfallen, an den MDK Sachsen-Anhalt übertragen. Davon verspricht man sich eine erhebliche Verkürzung der Laufzeiten für die Erstellung eines Gutachtens. Die Diktate werden in digitaler Form als Dateianhang zu einem ISmed-Auftrag vom ISmed-System des MDK in Hessen über eine bestehende Datenleitung verschlüsselt (Lotus-Notes) zu einem separaten ISmed-Server in die Räume des MDK Sachsen-Anhalt übertragen. Dabei handelt es sich um den Server, der auch für die digitale Archivierung (s. 33. Tätigkeitsbericht, Ziff. 5.8.2) genutzt wird. Von dort werden die Sprachdiktate auf einen zweiten „hessischen" Server in die Zentrale des MDK Sachsen-Anhalt übertragen. Dieser Server repliziert nun die Aufträge auf eine spezielle Notes-Datenbank, die auf einem weiteren Server im Serverraum der MDK-Hauptverwaltung liegt. Auf diesem so genannten Schreibpool-Server sind die Diktate sowohl aus Hessen als auch Sachsen-Anhalt zentral abgelegt. Auf diese Diktate greifen insgesamt 26 Schreibkräfte zu. Nach dem Schreiben werden die nunmehr geschriebenen Gutachten als Textdatei an den ursprünglichen ISmed-Auftrag angehängt und auf umgekehrtem Weg auf den zentralen Server des MDK Hessen in Oberursel (verschlüsselt) zurückgeschickt. Damit verbunden ist eine E-Mail an den jeweiligen Gutachter bzw. die Geschäftsstelle mit dem Hinweis, dass auf das fertig geschriebene Gutachten zugegriffen werden kann. Danach werden die Gutachten durch entsprechende Systemvorgaben gelöscht.

Vertragliche Aspekte der Auftragsdatenverarbeitung und Rechtsverhältnisse der Auftragnehmer untereinander:

Bei dem vom MDK vergebenen Auftrag handelt es sich um eine Datenverarbeitung im Auftrag i. S. v. § 80 SGB X (vgl. hierzu auch Ziff. 5.8.4 sowie 33. Tätigkeitsbericht, Ziff. 5.8.2).

Der MDK Hessen hat einen Dienstleistungs- sowie einen Datenschutzvertrag mit dem MDK Sachsen-Anhalt abgeschlossen. In dem Datenschutzvertrag sind Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. U. a. ist festgelegt, dass sich der Auftragnehmer, also der MDK Sachsen-Anhalt, eines Unterauftragnehmers bedient. Eine solche Möglichkeit räumt der § 80 Abs. 2 Satz 2 SGB X einem Auftragnehmer ausdrücklich ein. Bei diesem Unterauftragnehmer handelt es sich um die MedFlex GmbH, die eine hundertprozentige Tochter des MDK Sachsen-Anhalt ist. Die MedFlex GmbH, die sich personell aus ehemaligen Mitarbeitern des MDK Sachsen-Anhalt rekrutiert, ver- bzw. bearbeitet die Daten (also die digitalen Sprachdiktate) im Auftrag der Mutter (also des MDK Sachsen-Anhalt). Bei meiner Prüfung musste ich feststellen, dass die in den Verträgen festgelegte klare Zuordnung der Verantwortlichkeiten in der Praxis nicht umgesetzt war. Ich habe vor Ort eine personelle, organisatorische und technische Verquickung der rechtlich getrennten Institutionen MDK Sachsen-Anhalt und MedFlex GmbH vorgefunden. So erfolgt die technische Betreuung des Verfahrens, dessen Administrierung sowie das Krisenmanagement der MedFlex GmbH durch den Systemadministrator des dortigen MDK. Der Server der MedFlex GmbH stand zusammen mit dem technischen Equipment des MDK Sachsen-Anhalt in einem Raum. Die Geschäftsführung residierte ebenso in den Räumen des MDK wie die Schreibkräfte, die in einzelnen Geschäftsstellen untergebracht waren. Die technische Ausstattung war vom dortigen MDK angemietet.

Auf Grund dieser Konstellation ist keine nachvollziehbare Zuordnung bezüglich der Verantwortung für Datenschutz und Datensicherheit vorhanden. Denn für die Sicherheit des Verfahrens z. B. muss der Unterauftragnehmer in Haftung genommen werden können. Technisch basiert dies aber auf der Grundlage des Handelns des Systemadministrators des MDK Sachsen-Anhalt.

Vertraglich vorgesehene Pseudonymisierung findet nicht statt:

In dem zwischen dem MDK Hessen und dem MDK Sachsen-Anhalt geschlossenen Datenschutzvertrag war eine Pseudonymisierung der Gutachten ausdrücklich vereinbart. Hierzu heißt es in § 2 Abs.